Numéro 2
Transcription
Numéro 2
Sécurité Informatique / Numéro 2 ////// Octobre 2008 Éditorial Éditorial numéro spécial : UnJ-M. par Durand « fédérations d’Identités » par Bernard_Rapacchi 1 Janus : la gestion des identités au CNRS par Claude Gross _1 _1 Le chiffrement La fédération d’identités Olivier Salaün au CNRS par: analyse et recommandations par F. Morris _2 Petite revue de presse collectée par Robert Longeon _4 _5 ÉDITORIAL Un numéro spécial : « fédérations d’Identités » PAR BERNARD RAPACCHI Directeur de l’Unité Réseaux du CNRS (UREC) bernard.rapacchi[aroba]urec.cnrs. fr La Gestion des Identités et des Autorisations est bien évidemment une des bases de la Sécurité des Systèmes d’Information. Le CNRS se préoccupe de ces aspects depuis plusieurs années, notamment avec la mise en œuvre de l’Infrastructure de Gestion de Clés (IGC) du CNRS au début des années 2000, mais il faut bien admettre que les éditeurs de logiciels et les développeurs de systèmes d’exploitation n’ont pas investi, comme nous pouvions l’espérer, dans une utilisation simple et efficace des certificats. De plus, avec l’arrivée des nouvelles applications de gestion du CNRS (gestion budgétaire, gestion du personnel, comptabilité, etc.), il a fallu se rendre à l’évidence et admettre que le déploiement complet des certificats CNRS pour tous les personnels était irréaliste dans les délais fixés. L’Unité Réseaux du CNRS a proposé, dès l’automne 2007, le développement du projet Janus1 que Claude Gross expose dans son article « Janus : la gestion des identités au CNRS ». Janus est le complément et le prolongement de l’IGC du CNRS. En aucun cas, il n’implique la fin de celle-ci. Janus est un projet conjoint Unité Réseaux du CNRS et Direction des Systèmes d’Information du CNRS ; il a permis de mettre en synergie les diverses compétences des deux entités dans les aspects « intergiciels » d’une part, et dans les aspects « applications » d’autre part. Les technologies de fédérations d’identités utilisées par Janus sont des technologies déjà éprouvées : elles ont été, entre autres, développées dans le cadre du consortium Internet2 aux États-Unis. Elles sont largement utilisées dans d’autres pays, européens en particulier, et chez nos voisins suisses. La refonte des applications de gestion du CNRS nous a obligés à trouver avec Janus des solutions à des problèmes spécifiques. La particularité tient en plusieurs points, par exemple la possibilité de s’authentifier par certificat électronique ou login/mot de passe. Ainsi, Janus est un des rares développements de fédérations d’identités prenant autant en compte les aspects de redondance de chacune des parties du système, tant au niveau authentification que référentiel d’usage. Fraîchement nommé directeur de « l’Unité Réseaux du CNRS » (UREC), je fus interpelé dans une conférence sur les fédérations d’identités organisée par nos collègues du CRU2 pour que « le >>>> suite page 6 1 h t t p : //w w w.d s i .c n r s . f r /s i /c a t a l o gu e - a p p l i s /d e t a i l . a s p ? id_appli=204 2 http://www.cru.fr/ Janus : la gestion des identités au CNRS Par Claude Gross claude.gross[aroba]urec.cnrs. fr, CNRS – UREC http://www.urec.cnrs.fr/ La gestion des identités, en particulier pour l’accès aux applications, est un problème qui n’est pas résolu correctement aujourd’hui au CNRS. Les spécificités du CNRS, avec ses centaines d’unités disséminées géographiquement, rendent d’autant plus difficile cette gestion. 쑺 Le contexte La mise en place d’une IGC1 pour diffuser des certificats électroniques aux personnels des unités CNRS avait pour but de répondre à cette question. Mais le déploiement généralisé des certificats dans toutes les unités se heurte à plusieurs problèmes, en particulier : l’utilisation des certificats électroniques est complexe pour l’utilisateur ; leur diffusion, si on veut donner une certaine valeur aux certificats, nécessite l’existence d’une autorité d’enregistrement dans chacune des unités. Par ailleurs, les certificats en eux-mêmes ne peuvent répondre qu’au problème de l’identification et de l’authentification, et non à la gestion des habilitations. Or, la question essentielle à laquelle les applications sécurisées doivent répondre est : « Qui a droit à quoi ? ». Pour répondre à cette question, il faut bien sûr pouvoir identifier et authentifier une personne, mais il faut également disposer d’informations précises sur les rôles et les droits de cette personne dans son organisation. Un chercheur, un ingénieur, un directeur ou un gestionnaire doivent chacun pouvoir s’authentifier, mais leurs privilèges suivant les applications ne seront pas les mêmes. Ce besoin existe à tous les niveaux, à celui des applications nationales mais aussi à celui des laboratoires. Enfin, le CNRS n’est pas un organisme isolé du monde et le besoin d’outils permettant l’authentification inter-organismes existe. Nos partenaires, par exemple les universités, n’ont pas fait le choix des certificats électroniques comme méthode d’authentification. Pour autant, la difficulté du déploiement généralisé des certificats au CNRS ne doit pas nous conduire à revenir dix ans en arrière. Pendant longtemps au CNRS, et c’est encore parfois le cas aujourd’hui, la gestion des accès aux applications était faite par identifiant/mot de passe, et ceci • • 1 Infrastructure de Gestion de Clés >>>> suite page 2 N° 2 / Octobre 2008 au niveau de chaque application, avec pour conséquences : la multiplication des identifiants/mots de passe pour les utilisateurs ; un système d’authentification et des interfaces de login spécifiques à chaque application ; une gestion des comptes des utilisateurs au niveau de chaque application ; un niveau de sécurité très bas (mauvaise gestion des comptes, qualité des mots de passe, comptes utilisés par plusieurs personnes…). Le projet Janus est donc une évolution tenant compte de l’existant, permettant de résoudre les problèmes ci-dessus et de rendre possible l’interopérabilité avec nos partenaires des autres EPST et des universités. portail de l’INIST comme la direction de cet institut en a exprimé le souhait. • • • • 쑺 Le projet La technologie retenue pour ce projet est Shibboleth2 développée par le consortium Internet2 et utilisée également par nos partenaires des universités dans le cadre de la fédération d’identités du CRU3. Cette technologie, décrite par ailleurs, ne le sera pas dans cet article. Ce projet de gestion des identités s’articule autour de deux composants : un annuaire ou référentiel ; un service de fournisseur d’identités. Chacun de ces composants représente un projet en soi. Démarré fin 2007, le projet Janus comprend plusieurs phases : avril 2008 : mise en place d’un fournisseur d’identités CNRS. S’appuyant sur un référentiel incomplet, il sera essentiellement utilisé dans cette phase pour la gestion des accès à l’application Sirhus (application de gestion des ressources humaines) ; fin 2008 : mise en place du nouveau référentiel. Cette phase permettra l’ouverture du service à toutes applications CNRS ; courant 2009 : enrichissement du référentiel et mise en phase des outils nécessaires. À partir de fin 2008, le service pourra donc être ouvert potentiellement à toute application CNRS (DSI, délégations régionales, laboratoires…). Cette ouverture se fera progressivement en commençant avec des applications pilotes, par exemple le • • • • • 2 https://spaces.internet2.edu/ 3 http://federation.cru.fr/ Le référentiel L’annuaire est la brique de base pour la gestion des identités. Utilisant le protocole standard LDAP, il doit contenir toutes les informations nécessaires à l’authentification ainsi qu’à la gestion des habilitations. Le CNRS disposait déjà d’un annuaire LDAP dont le contenu est une extraction des bases de données du SI CNRS. C’est ce référentiel qui est utilisé depuis avril 2008 pour l’accès à l’application Sirhus. Mais l’organisation et le contenu de cet annuaire n’ont pas été conçus pour répondre aux besoins spécifiques d’un service de fournisseur d’identités. En particulier, seuls les personnels statutaires du CNRS y sont présents alors que tous les personnels, CNRS ou non, travaillant dans une unité CNRS doivent pouvoir accéder aux applications CNRS. Un travail est donc en cours pour mettre en place un nouveau référentiel qui devra permettre : l’authentification de tous les personnels des unités CNRS ; un plus grand niveau de gestion des habilitations pour l’accès aux applications, via la propagation d’attributs, permettant de déterminer les rôles ou les droits des utilisateurs. Son alimentation se fera : par extraction des données à partir d’une ou plusieurs bases de données du SI CNRS (en particulier Labintel et à terme Sirhus) ; via des interfaces spécifiques pour les données non présentes dans les bases de données ci-dessus (mot de passe, identifiants internes SAP…). Ce référentiel devrait être mis en place d’ici décembre 2008. Son contenu sera complété en 2009 avec des attributs supplémentaires pour élargir les possibilités de gestion des habilitations. Grâce à la propagation d’attributs, les applications CNRS pourront utiliser ces données pour la gestion de leurs accès (sur des profils pouvant être définis sur la base des attributs présents). • • • • Le service de fournisseur d’identités Ce service s’appuie : sur un serveur CAS4 pour le service d’authentification ; • 4. CAS : Central Authentication Service 2 • sur le référentiel pour la propagation d’attributs. Le service CAS est configuré pour accepter une authentification soit par certificat CNRS, soit par identifiant/mot de passe, en s’appuyant pour cela sur l’annuaire (Bind LDAP). L’identifiant retenu est l’adresse mail qui, dans le cas d’une authentification par certificat, est extraite de celui-ci. Le choix de cet identifiant, qui est fourni par Labintel, est pragmatique et n’est pas sans poser des problèmes. En particulier, la nécessaire unicité de cet identifiant n’est pas garantie par Labintel, ce qui oblige un traitement en aval pour l’obtenir. La gestion des mots de passe (initialisation, modification…) est réalisée grâce à l’application Sesame (https://sesame.dsi.cnrs.fr). La gestion des habilitations La première phase du projet a consisté avant tout à mettre en place le service de fournisseur d’identités. Celui-ci s’est appuyé dans un premier temps sur l’annuaire issu de Sirhus (personnels statutaires CNRS). Il s’appuiera dans un second temps sur le nouveau référentiel qui sera mis en place en décembre 2009. Ce dernier contiendra des données issues du système d’informations actuelles et donc gérables immédiatement. En corollaire, le niveau de gestion des habilitations sera nécessairement limité car, par exemple, certaines fonctions existantes au CNRS sont absentes du SI actuel. La phase suivante consistera principalement à augmenter les possibilités dans ce domaine en complétant le référentiel avec des données non gérées actuellement dans le SI. Ce travail impliquera : une spécification de ces données ; la mise en place d’un outil pour leur gestion. Le choix de ces données complémentaires sera guidé par : la pertinence de leur présence dans le référentiel ; la faisabilité de leur gestion. Il ne sert à rien d’alimenter un annuaire avec des données qui ne seront pas correctement mises à jour. Le but n’est pas de gérer les habilitations pour n’importe quelle application, les profils SAP par exemple sont gérés en interne dans SAP. Ce système devra non seulement permettre la gestion décentralisée de ces données, mais également, à partir de la définition d’un ensemble de fonctions et de droits, de rendre possible la délégation. • • • • 쑺 Sécurité du service Certaines fonctionnalités du service comportent des risques particuliers qui sont discutés ci-après. de leur compte personnel, ils seront beaucoup moins enclins à « prêter » celui-ci. SSO et Logout La disponibilité du service Un service d’authentification centralisé est une application critique qui ne peut subir de défaillance de quelle que nature qu’elle soit. Pour essayer d’atteindre ce haut niveau de disponibilité, l’architecture mise en place est la suivante : le fournisseur d’identités et le service CAS sont installés sur deux serveurs en répartition de charge ; le futur référentiel consistera en deux serveurs LDAP, l’un maître et l’autre esclave, en répartition de charge ; l’accès réseau sera redondé. • • • L’unicité des comptes Un des arguments présentés ci-dessus pour justifier le projet est d’éviter aux utilisateurs de gérer de multiples comptes en fonction des applications auxquelles ils sont amenés à se connecter. Mais le choix d’un compte personnel unique pour les utilisateurs a pour inconvénient majeur que la compromission d’un seul compte a des conséquences plus importantes, puisqu’il permet d’accéder à toutes les applications auxquelles a accès le propriétaire de ce compte. Pour limiter ce risque, plusieurs choses sont à considérer : une information doit être donnée aux utilisateurs pour leur faire prendre conscience de l’importance de la protection de leur compte ; toutes les connexions entrant en jeu dans le système sont chiffrées par l’utilisation systématique du protocole HTTPS. Un autre problème actuel est la divulgation de compte, par exemple pour permettre à un collègue de se connecter à une application. Cette pratique devrait tendre largement à se réduire pour deux raisons : le système de délégation qui sera mis en place, via la gestion des habilitations, supprimera l’une des principales justifications de cette pratique. Par exemple, le directeur d’unité qui donne son compte à la secrétaire pour accéder à une application réservée aux directeurs d’unités n’aura plus de raisons de le faire s’il peut donner une délégation ; à partir du moment où les utilisateurs auront pris conscience de l’importance • • • • Le fournisseur d’identités Janus offre la fonctionnalité de SSO (Single Sign On). Cette technique permet, lorsqu’un utilisateur s’est authentifié pour accéder à une application, de ne pas avoir à le refaire s’il veut accéder à une autre application utilisant également ce fournisseur d’identités. Cette fonctionnalité, en apportant un confort pour les utilisateurs, introduit également des risques. En effet, le problème de la déconnexion, difficile avec une technologie telle que Shibboleth, n’est pas actuellement traité dans les versions actuelles de Shibboleth. La seule possibilité offerte est la fermeture complète de la session en fermant le navigateur. Pour autant, ce problème n’est pas vraiment nouveau, car actuellement lorsqu’un utilisateur s’authentifie pour accéder à une application, le navigateur conserve l’identifiant/mot de passe utilisé ou laisse l’accès au magasin de clés, dans le cas d’un certificat, pendant toute la session. Par contre, la configuration de Shibboleth permet de mettre en place des timers de sessions et d’inactivités sur le fournisseur d’identités et sur chacune des applications fournisseurs de services, permettant de limiter le temps de vie d’une authentification. Certificat ou identifiant/mot de passe ? La méthode d’authentification sur le fournisseur d’identités est soit par certificat CNRS soit par identifiant/mot de passe. Ce choix, qui est possible grâce à l’existence de l’IGC CNRS, est pour l’instant uniquement du ressort de l’utilisateur. Il n’est pas impossible d’envisager à terme de rendre obligatoire, pour l’accès à certaines applications, l’utilisation de certificats, éventuellement sur support physique. Cette possibilité, qui devrait être justifiée par le niveau de criticité des applications, permettrait d’augmenter significativement le niveau de sécurité des accès aux applications concernées. Confidentialité La technique de propagation d’attributs, offerte par Shibboleth, nécessite une réflexion sur les problèmes de confidentialité que son utilisation peut entraîner. 3 En particulier, il est hautement souhaitable qu’une application utilisant le fournisseur d’identités, puisse obtenir les attributs dont elle a besoin et uniquement ceux-là. Les possibilités importantes de configuration du système offrent une entière liberté à ce sujet et permettent, au niveau de chaque application, de définir la liste des attributs qui lui seront délivrés. Cela permet d’aller jusqu’à rendre possible des accès anonymes à certaines ressources (l’application a la preuve que l’utilisateur a le droit d’accès mais ne connaît pas son identité). Pour chaque application candidate à l’utilisation du fournisseur d’identités CNRS, il sera ainsi nécessaire d’indiquer les informations demandées et de les justifier. 쑺 En conclusion Un projet de gestion d’identités comme Janus ne prétend pas régler tous les problèmes de sécurité. Il consiste avant tout à essayer d’utiliser un ensemble d’outils le mieux possible pour mettre en place les conditions nécessaires pour atteindre un meilleur niveau de sécurité. En parallèle, il offre une plus-value aux utilisateurs par le biais de l’unicité de leur compte et de la fonction SSO. Il offre également aux administrateurs d’applications la possibilité de déléguer complètement la gestion de l’authentification au fournisseur d’identités et, grâce à la propagation d’attributs, des possibilités de gestion des droits. Si on ajoute à cela les futures possibilités offertes par la gestion des habilitations avec son système de délégation, on peut espérer à l’avenir limiter (voire supprimer ?) l’adoption par les utilisateurs de certains comportements à risques. Par ailleurs, le fournisseur d’identités CNRS intégrera la fédération d’identités Renater qui démarrera à partir de février 2009. Cette fédération, qui regroupera des EPST ainsi que les universités françaises, facilitera le partage des ressources de la communauté enseignement/recherche en France. Projet transverse par nature, un projet de gestion des identités tel que Janus entraîne avec lui tout le système d’informations. Des informations qui, jusque-là, étaient rarement à jour ou même existantes parce que non utilisées, le seront davantage, car elles seront rendues nécessaires pour accéder à certaines ressources. Or la qualité du contenu du SI est une des conditions pour obtenir un meilleur niveau de sécurité du système d’informations. 쮿 La fédération d’identités* Par Olivier Salaün salaun[aroba]cru. fr Comité Réseaux des Universités http://www.cru.fr/ e contrôle d’accès à certaines ressources numériques est un enjeu majeur pour les établissements d’enseignement supérieur et de recherche. En effet toutes les données publiées ne sont pas publiques ; il faut donc pouvoir authentifier les utilisateurs et contrôler l’accès à ces données ou à ces applications sans multiplier les référentiels utilisateurs. Les mécanismes de fédération d’identités permettent de transmettre un profil utilisateur à un service consommateur d’identités, en garantissant des exigences de sécurité et de protection des données personnelles. On peut dès lors généraliser de nouveaux usages : travail collaboratif, e-learning, accès nomade à la documentation électronique, distribution de logiciels commerciaux. Le consortium Internet2 a été pionnier dans le domaine en développant le logiciel open source Shibboleth. Ce logiciel est aujourd’hui massivement utilisé dans le monde universitaire, ce qui garantit l’interopérabilité des services au niveau international. L d’une ressource numérique (cours en ligne, application), peut être considérée comme un consommateur d’identités numériques ; elle permet donc de gérer le contrôle d’accès à cette ressource. La brique Shibboleth fournisseur d’identités, installée dans l’organisme de rattachement d’un utilisateur, permet de transmettre l’identité numérique de ce dernier. Lorsqu’un utilisateur accède à la ressource numérique, il est redirigé vers le fournisseur d’identités de son organisme. Il s’authentifie auprès de son organisme, au moyen d’un identifiant et d’un mot de passe par exemple. L’utilisateur est alors renvoyé vers la ressource numérique, accompagné d’une identité numérique. La relation de confiance entre le fournisseur de services et le fournisseur d’identités garantit la confiance dans cette identité numérique. L’accès à la ressource numérique est autorisé si le profil de l’utilisateur correspond à la politique de contrôle d’accès. ressource numérique cercle de confiance service d’authentification organisme A Accès à une ressource numérique distante via la fédération d’identités. 쑺 Comment ça marche ? L’architecture de fédération d’identités repose sur deux briques fonctionnelles : le fournisseur de services et le fournisseur d’identités. La brique Shibboleth fournisseur de services, située au niveau serveur Tomcat Shibboleth référentiel utilisateurs service d’authentification annuaire LDAP serveur CAS Architecture d’un fournisseur d’identités Shibboleth. 쑺 Prérequis pour les organismes : Ces mécanismes de fédération d’identités sont réalisés grâce à des briques logicielles interopérables (Shibboleth). La brique fournisseur d’identités s’articule avec le système d’information de l’orga- 4 • • 쑺 Le service proposé par Renater Le service de fédération sera proposé aux adhérents Renater à partir de février 2009, à l’issue d’une phase pilote. Cette phase transitoire permettra la continuité du service proposé actuellement dans le cadre de la fédération du CRU. organisme B utilisateur nisme. Il repose donc sur les éléments suivants : un référentiel utilisateur fiable (annuaire LDAP ou autre base de données) ; un service central d’authentification web (un serveur CAS par exemple). L’organisme désirant mettre en place un fournisseur d’identités doit donc disposer de ces deux services. La brique fournisseur de services s’installe aisément sur un serveur web (disponible pour Apache et pour IIS), en amont d’une application web. À moins qu’elle soit nativement compatible avec Shibboleth, l’application web devra être adaptée pour désactiver son système d’authentification natif. Shibboleth est un mécanisme de propagation d’identités, développé par le consortium Internet2, qui regroupe 207 universités et centres de recherche. C’est une application open source, développée en Java. Elle améliore la sécurité de l’accès aux applications extérieures. De nombreuses applications supportent nativement Shibboleth. 쑺 Documentation, formation Renater propose des documentations techniques, en partenariat avec le CRU. Des sessions de formation seront également organisées en 2008 et en 2009, dans le cadre des formations CiRen. La fédération Renater : http://www.renater.fr rubrique service Site du CRU : http://federation.cru.fr Shibboleth : http://shibboleth.internet2.edu 쮿 * Cet article a été publié par Renater sous l’intitulé « fiche services fédération d’identités » en septembre 2008. Petite revue de presse Avis de Tempest Une étude portant sur plusieurs dizaines de claviers, en connectique filaire (USB ou PS/2), a montré qu’il était possible d’espionner les frappes d’une pièce à l’autre, grâce aux émissions électromagnétiques qu’ils émettent : http://www.canardwifi.com/2008/10/21/ pirater-les-claviers-cest-desormais-possible/ Les internautes anglophones seraient davantage victimes de vol d’identité Et pourtant, les Français avouent transmettre sur les réseaux sociaux des données personnelles qu’ils utilisent par ailleurs comme mot de passe… et sont 61 % à avouer en changer moins d’une fois par an : http://www.zdnet.fr/actualites/internet/ 0,39020774,39384348,00.htm Sécuriser Windows XP ? Le NIST le propose dans son guide « Guidance for Securing Microsoft Windows XP Home Edition » (en anglais) téléchargeable sur http://csrc.nist.gov/itsec/SP800-69.pdf Surtaxer n’est pas jouer De plus en plus d’utilisateurs reçoivent sur leur téléphone mobile des SMS indésirables, les amenant à composer abusivement des numéros surtaxés. Pour aider à lutter contre cette malveillance, la Fédération française des télécoms met en place, en concertation avec le secrétaire d’État chargé de l’Industrie et de la Consommation, un dispositif d’alerte et de traitement permettant aux consommateurs de signaler ces SMS abusifs, via le 33700 : http://www.minefe.gouv.fr/presse/dossiers_de_ presse/081021telephonie_internet/sms_ indesirables.pdf Jack a dit Clickjacking… Des détails concernant la faille multiplateforme surnommée « clickjacking » commencent à émerger. Une des exploitations les plus alarmantes de cette faille concerne la possibilité d’observer et d’écouter les internautes qui disposent de caméras et de micros branchés sur leurs ordinateurs : http://www.bulletins-electroniques.com/ actualites/56234.htm http://www.zdnet.fr/actualites/informatique/ 0,39040745,39383973,00.htm La diffusion des technologies de l’information dans la société française Le baromètre du Credoc sur la diffusion des technologies de l’information dans la société française révèle, cette année, cinq évolutions majeures : une forte accélération de l’équipement des particuliers en ordinateurs personnels et en connexions à Internet haut débit ; l’explosion de la téléphonie fixe par ADSL ; le ralentissement de la diffusion du téléphone mobile ; le franc succès rencontré par l’administration électronique et les achats par Internet ; une méfiance accrue des internautes face à la protection des données personnelles sur Internet. L’étude du Credoc est disponible sur : http://www.arcep.fr/uploads/tx_gspublication/ etude-credoc-2007.pdf centres espacés de jusqu’à 85 kilomètres via des fibres optiques standard, ouvrant la voie à une application de cette technologie très complexe aux réseaux de télécommunication courants : http://www.promethee.fr/actus/index.php?2008/ 10/08/337-le-premier-reseau-de-cryptographiequantique-au-monde-active-a-vienne Skype, un botnet ? C’est ce que démontre Cédric Blanchet sur : http://sid.rstack.org/pres/0606_Recon_Skype_ Botnet.pdf On peut aussi relire les supports de l’intervention de Fabrice Desclaux et Kostya Kortchinsky à la conférence RECON 2006 : http://2006.recon.cx/en/f/vskype-part2.pdf Protégez gratuitement votre PC sous Windows Effacer d’une manière sécurisée un disque dur De l’antivirus au pare-feu, en passant par le nettoyage ou le renforcement du système, il n’y a plus d’excuse pour ne pas se protéger : Un « Live CD » pour effacer d’une manière sécurisée le contenu d’un disque dur : http://www.indexel.net/1_6_4944__3_/2/12/1/ Protegez_gratuitement_votre_PC_sous_Windows.htm Quatre logiciels antispyware gratuits : http://www.indexel.net/1_6_5297__3_/15/90/1/ Quatre_logiciels_antispyware_gratuits.htm Sept ouvrages pour améliorer la sécurité de votre SI : http://www.indexel.net/1_6_5096__3_/2/12/1/7_ ouvrages_pour_ameliorer_la_securite_de_votre _SI.htm Cours de piratage des systèmes de vote électroniques aux États-Unis Des étudiants de l’université Rice ont suivi un cours de sécurité informatique durant lequel ils ont dû faire de leur mieux pour altérer des machines à voter électroniques. Objectif : tester leur vulnérabilité : http://www.atelier.fr/securite/10/09102008/voteelectronique-securite-universite-rice-37268-.html Le premier réseau de cryptographie quantique au monde activé à Vienne Des scientifiques ont annoncé avoir activé à Vienne le premier réseau de télécommunication au monde sécurisé au moyen de la cryptographie quantique, dans le cadre du projet européen Secoqc auquel participent plusieurs unités du CNRS (http://www.secoqc.net/html/project/partners.html). Des données cryptées, y compris une vidéoconférence, ont été transmises lors d’une conférence internationale entre six 5 http://www.ultimatebootcd.com/ … mais, pour certains, la seule méthode efficace est la méthode radicale : http://hackaday.com/2008/09/16/how-tothermite-based-hard-drive-anti-forensicdestruction/ Un livre blanc de l’Enisa sur quelques techniques d’ingénierie sociale L’ingénierie sociale se réfère à des techniques de manipulation qui se ramènent à convaincre quelqu’un d’effectuer de son plein gré une transgression ou une divulgation d’informations confidentielles. Ces attaques sont devenues un problème de sécurité d’autant plus important qu’il faut bien reconnaître qu’il est souvent plus facile à un pirate d’exploiter les utilisateurs que la technologie. http://www.enisa.europa.eu/doc/pdf/publications/ enisa_whitepaper_social_engineering.pdf La vie privée et la technologie Le magazine Scientific American (http:// www.sciam.com/sciammag/?contents= 2008-09) consacre son numéro de septembre à la vie privée et aux défis qu’elle adresse aux spécialistes de la sécurité. Lire à ce sujet l’article du webzine « Internet Actu. net » : http://www.internetactu.net/2008/09/17/la-vieprivee-et-la-technologie/ N° 2 / Octobre 2008 L’iPhone d’Apple espion malgré lui ? Pour obtenir les effets graphiques de transition entre deux applications, l’iPhone garde en mémoire les dernières données consultées par son utilisateur, selon un expert. Une technique pouvant permettre à celui-ci, mais aussi à des pirates, de retrouver des données. • Flash Eurobaromètre n° 225 :« La protection des données au sein de l’Union européenne - Les perceptions des contrôleurs de données - Perceptions des citoyens » (PDF), http://ec.europa.eu/public_opinion/flash/fl_226_fr. pdf et pour une analyse : « Informatique et libertés : les Français sont nuls » (J.-M.M.), InternetActu, http://www.businessmobile.fr/actualites/ technologies/0,39044306,39383242,00.htm http://www.internetactu.net/2008/06/02/ informatique-et-libertes-les-francais-sont-nuls/ Laposte.net a diffusé involontairement une publicité piégée TV B Gone, la télécommande universelle permettant d’éteindre tous les postes de télévision auprès desquels on passe : Mardi 2 septembre, une fausse alerte de sécurité était diffusée sur le webmail de La Poste, invitant les utilisateurs à télécharger un logiciel de sécurité contenant un spyware : http://www.01net.com/editorial/389835/laposte. net-a-diffuse-involontairement-une-publicitepiegee/ Les « bidouilleurs » de la société de l’information • « Y aura-t-il un scandale Sesam Vitale ? », par Jean-Marc Manach, InternetActu, http://www.internetactu.net/2005/09/09/ yaura-t-il-un-scandale-sesam-vitale/ • Mifare Classic : « La sécurité de millions de cartes à puce sans contact sérieusement remise en question », par David Maume, 01net, http://www.01net.com/editorial/387107/lasecurite-de-millions-de-cartes-a-pucesanscontact-serieusement-remise-en-question/ • http://www.tvbgone.com • La culture hack du Massachusetts Institute of Technology (MIT) : http://hacks.mit.edu • Hacker Space Festival : http://www.hackerspace.net • • • Le Lab : http://www.tmplab.org TechShop : http://techshop.ws Les imprimantes 3D : http://blog.reprap.org • Le Chaos Computer Club (Allemagne) : http://www.ccc.de, « Le Chaos Computer Club (CCC) concrétise le débat sur la biométrie et les empreintes digitales de Schäuble », par Stephan M., Les Dessous de l’Allemagne : http://allemagne-et-plus.a18t.net/?p=26 • Foebud : http://www.foebud.org Le nouveau portail de la DCSSI (http://www. securite-informatique.gouv.fr) répond à ce besoin. Il s’annonce tant comme un outil de travail indispensable pour les professionnels que comme une mine d’informations pour les particuliers un peu sensibilisés à la SSI. Par exemple on y trouve les dix commandements de la sécurité sur l’internet (http://www.securite-informatique.gouv.fr/ gp_rubrique34.html), tout un jeu de fiches techniques classées par ordre alphabétique (http://www.securite-informatique.gouv.fr/ gp_mot4.html), les principaux guides de configuration dont on peut avoir besoin CNRS ne fasse pas cavalier seul ». C’est effectivement dans un esprit de partage des compétences et de mutualisation des solutions que l’Urec3 collabore étroitement avec le CRU et la DSI4 de l’Inria5, en particulier dans divers groupes de travail Renater6 et des manifestations autour des JRES7. Patrick Lagadec, Directeur de Recherche du CNRS à l’École Polytechnique, montre bien la nécessité de ces petits groupes réactifs, composés de personnes de formations et d’expériences différentes, d’approches complémentaires, pour répondre aux crises « hors cadre ». Les fédérations d’identités sont, à cet égard, des projets typiques de synergie des acteurs. Ainsi, Janus s’intégrera naturellement dans la fédération Renater qu’Olivier Salaün présente dans son article. Si on se réfère à Wikipédia ou à l’Encyclopedia Universalis, Janus est une divinité romaine veillant sur le seuil de la maison, protégeant le passage de l’intérieur vers l’extérieur (et inversement), assurant finalement le passage du monde des hommes à celui des dieux et, à ce titre, toujours invoqué au début de toute prière rituelle. En ce sens, le nom de Janus exprime parfaitement ce que tant le Comité d’Évaluation des Systèmes d’Information que l’Inist8 et, au-delà, les unités de recherche, attendent de ce projet : être le moyen d’authentification unique pour toutes les applications. À cette fin, nous proposerons en 2009 des formations de sensibilisation pour montrer comment les applications de recherche peuvent s’intégrer à Janus et quel intérêt les utilisateurs y trouveront. Informations collectées par R. L. Avec son portail, la DCSSI rend la SSI accessible à tous Les machines de bureau comme celles de salon, le réseau ADSL qu’on a chez soi comme celui en Ethernet 100 Mbit/s sur fibre optique de certains de nos laboratoires, les grands centres de calculs comme le petit ordinateur de secrétariat, toute cette belle technologie, suivant les besoins, doit être protégée nous dit-on … Mais sait-on toujours très bien comment ou pourquoi ? >>>> suite de l’Éditorial, page 1 (http://www.securite-informatique.gouv.fr/ gp_mot2.html), toutes sortes de mémentos bien utiles (http://www.securite-informatique. gouv.fr/gp_mot1.html), ainsi que des modules d’autoformation sur divers sujets (http://www. securite-informatique.gouv.fr/gp_mot24.html). On y trouve encore, dans l’actualité de la SSI, une revue des alertes de sécurité avec leur analyse (http://www.securite-informatique. gouv.fr/gp_rubrique9.html), les faits marquants (http://www.securite-informatique. gouv.fr/gp_rubrique10.html) et enfin des analyses techniques (http://www.securiteinformatique.gouv.fr/gp_rubrique69.html). Et puisque ce numéro spécial traite de la fédération d’identités, il est naturel de vous inviter à vous reporter au module autoformation sur l’authentification (http://www. securite-infor matique. gouv.fr/ gp_article261.html), vous vous rendrez compte ainsi de la grande qualité du portail de la DCSSI… et vous pourrez évaluer votre compréhension des articles de ce bulletin. 6 3 http://www.urec.fr/ 4 Direction des Systèmes d’Information 5 http://www.inria.fr/ 6 http://www.renater.fr/ 7 http://www.jres.org/ 8 http://www.inist.fr/ SÉCURITÉ DE L’INFORMATION Sujets traités : tout ce qui concerne la sécurité informatique. Gratuit. Périodicité : 4 numéros par an. Lectorat : toutes les formations CNRS. Responsable de la publication : Joseph Illand Fonctionnaire de Sécurité de Défense Centre national de la recherche scientifique 3, rue Michel-Ange, 75794 Paris cedex 16 Tél. : 01 44 96 41 88 Courriel : joseph.illand[aroba]cnrs-dir. fr http://www.sg.cnrs.fr/fsd Rédacteur en chef : Robert Longeon Chargé de mission SSI du CNRS Courriel : robert.longeon[aroba]cnrs-dir. fr Impression : Bialec, Nancy (France) - D.L. n° 70381 ISSN 1257-8819 La reproduction totale ou partielle des articles est autorisée sous réserve de mention d’origine.